Cyber security is niet meer weg te denken in onze huidige maatschappij. Organisaties en bedrijven zijn zich hiervan bewust. Ook al kan het altijd beter. Hoe kijkt Microsoft Nederland naar cyber security? Welke acties ondernemen ze zelf en wat moet er volgens hen gebeuren om Nederland echt cyberveilig te maken?

Cyber security wordt alleen maar belangrijker, is de stelling van Martin Vliem. Hij is National Security Officer bij Microsoft Nederland en vertegenwoordigt de organisatie als het gaat om informatiebeveiliging, privacy en compliance.

Afhankelijkheid van technologie is groot

“Digitalisering neemt, zeker in Nederland, een grote vlucht in zowel de publieke als private sector. Steeds meer informatie moet worden verwerkt, zoals klantgegevens, intellectueel eigendom en financiële data. De afhankelijkheid van technologie is groot. Security is fundamenteel in deze om het vertrouwen te behouden en het op juiste wijze om te gaan met gegevens. Uit ons laatste Security Intelligence Report blijkt dat cybercriminelen het afgelopen jaar hun aandacht verschoven hebben van agressieve ransomware-aanvallen (met 60% afgenomen) naar identiteitsdiefstal door middel van phishing-aanvallen, malware voor cyber mining en gecoördineerde softwareaanvallen in de supply chain.”

Covid-19 pandemie heeft de digitale transformatie nog versneld

General Manager van Microsoft Nederland, Ernst Jan Stigter vult aan: “Nederland loopt internationaal gezien voorop bij het omarmen van technologie. We hebben hierin dus een grote rol. De Covid-19 pandemie heeft de digitale transformatie nog versneld. Cyber security is dan ook een randvoorwaarde voor het functioneren van onze maatschappij. Daarom moeten we blijven investeren in onze digitale weerbaarheid.”

Cyber security: intern

Op de vraag wat Microsoft zelf doet op het gebied van cyber security, antwoordt Vliem: “Bij ons is security een hoeksteen van innovatie. Intern beveiligen we ons bedrijf zo goed mogelijk. Gegevens van klanten beschermen we. We richten ons sterk op risicomanagementtoegangscontrole, autorisatie en authenticatie. Waar het in de markt soms nog mis kan gaan, is met phishing en ransomware. De oorzaken ervan zijn niet vernieuwend. Het is en blijft daarom: zorg dat je de basis op orde hebt. Een vraag daarbij is: hoe komen we eindelijk eens van wachtwoorden af? Inderdaad, door alternatieve technologie te ontwerpen waarmee gebruik toch gemakkelijk blijft. Denk daarbij aan Kunstmatige Intelligentie (KI). Maar daarvoor heb je wel mensen nodig die kennis in huis hebben. Daaraan is in de Nederlandse markt enigszins een tekort.”

Cyber security: extern

Vliem vervolgt: “Tegelijkertijd richten we ons op de ‘schaal’ eromheen. We zijn druk doende met regie-oplossingen: wat is nodig (en anders) in het nieuwe domein van digitale transformatie? In de oude situatie zetten we een hek om ons netwerk en dat was het dan. In de open wereld van digitaal samenwerken werkt het geheel anders. Hoe gaan we controle houden over de data? Met technologie, voor een deel. Maar ook samenwerken met veel partijen is belangrijk. Zoals met het National Cyber Security Center (NCSC), het Digital Trust Center (DTC), de Cybersecurity Alliantie en publiek-private partijen. Dit om de awareness te verhogen. Samen projecten oppakken en kennis vergroten. Ook werken we met de academische wereld samen rond de vraag wat de toekomst is van informatiebeveiliging? Wij bevinden ons dus echt in een unieke positie om onze klanten en hun gegevens te beschermen. Onze aanpak combineert onze intelligence-based security operations, enterprise-class technologie en het vermogen om een wereldwijd partnership te smeden om alle technologie waar bedrijven van afhankelijk zijn beter te beveiligen.”

“En verder zijn we internationaal betrokken bij het vormen van geharmoniseerd cyber security beleid”, aldus Stigter.

Voorbeeld: Tech Scam

Een voorbeeld van cybercriminaliteit waar Microsoft en daarmee ook derden te maken hebben, is Tech Scam. Dit is een vorm van computercriminaliteit en helpdeskfraude, waarbij iemand zich voordoet als bijvoorbeeld een medewerker van Microsoft en telefonisch individuen benadert. Deze zogenaamde medewerker maakt misbruik van het gebrek aan technische kennis van de meeste pc-gebruikers en zal hen ervan overtuigen dat er iets mis is met de software van Microsoft op hun pc. De ‘medewerker’ biedt aan te helpen, maar in feite installeert hij bijvoorbeeld malware om permanente toegang tot de computer van het slachtoffer te krijgen.

Op dit gebied werkt Microsoft nu samen met onder meer politie, Openbaar Ministerie, de telecom- en de financiële sector. Vliem: “Naast de gebruikelijke voorlichting met mediacampagnes, hebben we bekeken wat we nog meer kunnen doen als een fraude aan de gang is. Zo onderzoeken we of we mensen op de hoogte kunnen stellen wanneer hun computer wordt misbruikt binnen een dergelijke vorm van fraude.”

Consolidatie, bestuur en mkb

Nederland is dus actief op het gebied van cyber security volgens Vliem, want we liggen internationaal gezien volgens hem onder een vergrootglas. “Nederland kent, zoals gezegd, vele samenwerkingsverbanden. Maar het is noodzaak deze te consolideren. De samenwerkingen zijn te gefragmenteerd. Hierin kunnen we ons nog verbeteren en daar werken we graag aan mee.”

Stigter vult aan: “Investeringen in cyber security moeten ook een prioriteit zijn op bestuurlijk- en directieniveau. Het is zorgelijk dat onderzoek laat zien dat er nog onvoldoende begrip van cyber security op bestuursniveau is.”

Ondersteuning van het mkb

Er is dus nog een weg te gaan in cyber security. Naast het consolideren van samenwerkingsverbanden en voldoende kennis op bestuurlijke niveau, dienen we volgens Vliem dan ook te kijken naar het mkb. “We zien inmiddels initiatieven ontstaan. Maar aan de andere kant is er in het mkb nog te weinig motivatie voor cyber security. Dus werkt Microsoft ook met het mkb samen. Onder andere met MKB Nederland en het DTC. Daarnaast kijken we met een partij naar certificering voor cyberaanbieders voor het mkb. En uiteraard, ook met onze software proberen we het mkb zo goed mogelijk te ondersteunen. We geloven meer dan ooit dat wij de verantwoordelijkheid hebben om onze ervaring en expertise in te zetten om cyber security elke dag te verbeteren.”

Nederland cyberveilig

Hoe krijgen we Nederland uiteindelijk cyberveilig? Stigter: “Cyber security biedt kansen en is niet alleen een kostenpost. De private sector moet uitdagingen het hoofd bieden en niet verwachten dat de overheid alles oplost. Zie cyber security als een gemeenschappelijk speerpunt, om van te leren, te ontwikkelen en duurzaam te onderhouden. De overheid moet blijven investeren in het vergroten van de kennis van burgers, mkb en overheden om zo onze digitale weerbaarheid te vergroten.”

“En we moeten vooral de basis niet vergeten. Het lijkt simpel, maar dat is het blijkbaar niet altijd. Oftewel, we dienen te werken aan cyber security hygiëne”, sluit Vliem af.

Betty Rombout is freelance journalist, dit artikel verscheen eerder op https://www.securitymanagement.nl/microsoft-nederland-over-cyber-security.